32 761 Verwerking en bescherming persoonsgegevens

Nr. 194 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 september 2021

In de NRC van 30 juni jl. stond het artikel «Duitse privacywaakhond: regering moet Facebookpagina’s sluiten». Het artikel vermeldt dat de Duitse regering en andere overheidsinstellingen door de Federale commissaris voor Gegevensbescherming en Vrijheid van informatie (BfDI) worden aangeschreven om hun Facebookpagina’s voor het eind van het jaar te sluiten. Daarbij wordt geschreven dat sluiting afgewend kan worden als Facebook voor het eind van dit jaar zorgt voor betere bescherming van persoonsgegevens. Op uw verzoek van 2 juli jl. geef ik u hierbij mijn eerste reactie op dat artikel.

Net als de Duitse overheid maakt ook de Nederlandse overheid gebruik van Facebookpagina’s. Dat moet vanzelfsprekend gebeuren binnen de regels voor het beschermen van persoonsgegevens, zoals die onder meer zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). De overheidsinstelling kan als beheerder van een Facebookpagina in sommige gevallen worden aangemerkt als gezamenlijk verwerkingsverantwoordelijke, in dit geval samen met Facebook, in de zin van artikel 26 van de AVG. In een uitspraak heeft het Hof van Justitie van de Europese Unie1 namelijk geoordeeld dat een beheerder van een Facebookpagina niet van de verplichting tot bescherming van persoonsgegevens wordt ontslagen door het feit dat de beheerder gebruik maakt van het door Facebook beschikbaar gestelde platform. Als gezamenlijk verwerkingsverantwoordelijken moeten Facebook en de overheid beide voldoen aan de regels van de AVG en dit ook kunnen aantonen.2

Ik vind het belangrijk dat de Nederlandse overheid op rechtmatige en zorgvuldige wijze omgaat met (de bescherming van) persoonsgegevens. Daarom laat ik op dit moment uitzoeken op welke manier de rijksoverheid gebruik maakt van Facebookpagina’s, welke AVG-rol daarin wordt aangenomen en welke afspraken met Facebook hierover mogelijk al bestaan. Met deze informatie zal ik bezien of een gegevensbeschermingseffectbeoordeling (DPIA) moet worden opgesteld om te bekijken of er aanvullende maatregelen nodig zijn. Zo nodig leg ik een DPIA voor aan de Autoriteit Persoonsgegevens.

Mijn streven is om u voor het einde van het jaar verder te informeren.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren


X Noot
1

Hof van Justitie van de Europese Unie, 5 juni 2018, ECLI:EU:C:2018:388.

X Noot
2

Artikel 5, tweede lid, AVG.

Naar boven